「Dell Endpoint Security Suite EnterpriseのAdvanced Threat Protectionによる検出方法に関するアップデート（英語）」

対象製品：

• Dell Endpoint Security Suite Enterprise
• Dell Threat Defense

影響を受けるバージョン:

• 1.2.137倍 
• 1.2.139倍
• 2.0.145倍

Dell Data ProtectionのAdvanced Threat Protection製品Dell Threat DefenseとDell Endpoint Security Suite Enterpriseでは、脅威の評価方法を変更するアップデートが時折発生する場合があります。これらのアップデートは、脅威モデルに対するアップデートであるため、一般的に「モデル」アップデートとして参照されます。

ユーザーが新しいモデルが組織にどのような影響を与えるかを知るために、コンソールの[Protection]ページには2つの列があります。本番ステータスと新しいステータスの比較を使用して、影響を受けるモデルが変更されたデバイス上のファイルを確認できます。

完全な本番展開を行う前に、新しいモデルをテストする必要があります。これにより、モデルの変更による意図しない停止を最小限に抑えることができます。

注意が必要なシナリオは次のとおりです。

• 現在のモデルで安全と見なされたファイルが、新しいモデルで危険に変わる場合があります。組織がそのファイルを必要とする場合は、セーフリストに追加できます。
• 現在のモデルが認識またはスコア付けされたことがなく、新しいモデルが危険と見なすファイル。組織がそのファイルを必要とする場合は、セーフリストに追加できます。

新しい保護列

次の2つの列があります。本番ステータスと新しいステータス:

• 本番ステータス: ファイルの現在のモデルステータス(安全、異常、危険)を表示します。
• 新しいステータス: 新しいモデルのファイルのモデル ステータスを表示します。

脅威スコアが変更された、組織内のデバイスで見つかったファイルのみが表示されます。一部のファイルでは脅威スコアが変更されても、現在のステータスのままである場合があります。

例:

ファイルの脅威スコアが10から20に変わり、ファイルのステータスが異常のままになり、ファイルが更新されたモデル リストに表示されます(このファイルが組織内のデバイスに存在する場合)。

[Current Model]列と[New Model]列を表示するには、次の手順を実行します。

1. Dell Data Protection Remote Management Consoleにログインし、 ポピュレーション -> Enterprise -> Advanced Threats を選択して、 Protection タブを選択します。
2. 列ヘッダーの下矢印をクリックします。
3. [Production Status]列と[New Status]列を選択します。
4. 下矢印をクリックするか、ページ上の任意の場所をクリックして、列オプション メニューを閉じます。

これで、2つの脅威モデルの違いを確認できるようになりました。

注意が必要な2つのシナリオは次のとおりです。

• 現在のモデル = 安全、新しいモデル = 異常、または危険
• 組織は、ファイルを[安全]または[分類]が[信頼済みローカル]と見なします。
• 組織の異常または危険が自動隔離(AQT)に設定されています。
• 現在のモデル = Null(未確認またはスコア付け)、新しいモデル = 異常または危険
• 組織は、ファイルを[安全]または[分類]が[信頼済みローカル]と見なします。
• 組織の異常または危険が自動隔離(AQT)に設定されています。

上記のシナリオでは、組織で許可するファイルをセーフリストに登録することを推奨します。

分類の特定

組織に影響を与える可能性のある分類を特定するには、次のアプローチをお勧めします。

• [新しいモデル]列にフィルターを適用して、危険、異常、隔離されたすべてのファイルを表示します。ポリシーが 自動隔離 に設定されている場合、これらの脅威が隔離されているため、危険または異常なファイルは表示できません。
• [本番ステータス]列にフィルターを適用して、すべての安全なファイルを表示します。
• [分類]列にフィルタを適用して、信頼済み - ローカルの脅威のみを表示します。信頼済み - ローカル ファイルはデルのATPで分析され、安全であることが判明しました(レビュー後にこれらのアイテムを安全リストに入れます)。フィルターされたリストに多数のファイルがある場合は、より多くの属性を使用して優先順位を付ける必要があります。Example: [バックグラウンド検出]列にフィルターを追加して、実行制御によって検出された脅威を確認します。これらは、ユーザーがアプリケーションの実行を試みたときに、バックグラウンド脅威検出またはファイル ウォッチャーによって検出された休止状態のファイルよりも緊急の注意が必要な場合に有犯されました。

図1: (英語のみ)高度な脅威 

推奨される本番展開

このセクションでは、ユーザーが新しい予測モデルにアップグレードするのに役立つ戦略について説明します。安全でないファイルと異常なファイルに対して有効になっている自動隔離ポリシーにエージェントを割り当てることを強くお勧めします。

自動隔離による自動アップデート

エージェントが自動アップデートに設定されている場合は、新しい予測モデルがリリースされたときにエージェントの自動アップデートを無効にする必要があります。自動隔離を無効にしたり、新しいエージェントをテストしたりできない場合は、Dell Data Protection管理者に警告してください。ユーザーのブロックを解除するために誤って分類されたセーフリスト アイテムを使用する場合があります。

自動隔離による手動アップデート

エージェントを手動でアップデートする場合、自動アップデートは問題になりません。エージェントをアップデートする前に、次の手順を使用することをお勧めします。

1. 新しいエージェント(新しいモデル)を代表的なコンピューター セットでテストします。これらのテスト マシンは、自動隔離ポリシーに配置することが理想的です。安全なアプリケーションがブロックされている場合は、セーフリストにファイルを追加します。
2. テストが完了したら、新しいエージェントをすべてのコンピューターに展開します。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。